Os gráficos têm sido a base da cibersegurança há muito tempo; sua importância só cresceu com a complexidade em escala de nuvem. Anteriormente, estudamos como , mapeando repouso, criando empregos, segredos, corredores e credenciais na nuvem em vistas conectadas que refletem como os atacantes pensam. Os defensores podem proteger seus ambientes CI/CD usando gráficos Os defensores podem proteger seus ambientes CI/CD usando gráficos Este artigo revisita essa ideia na era dos grandes modelos de linguagem e mostra por que os gráficos são a chave para mover a IA para a segurança do hype para algo operacional. tl;dr: quando você combina representações gráficas com raciocínio LLM, você obtém precisão e explicabilidade em um nível que as estruturas de dados planas não podem coincidir. tl;dr: quando você combina representações gráficas com raciocínio LLM, você obtém precisão e explicabilidade em um nível que as estruturas de dados planas não podem coincidir. Why cybersecurity isn’t keeping up in the age of vibe-everything Por que a cibersegurança não se mantém na era do vibe-everything Os LLMs já reformularam a forma como o software é construído, mas a adoção da segurança cibernética ainda está atrasada. As saídas podem ser um recurso, onde a criatividade e a flexibilidade são bem-vindas, mesmo que o resultado seja imperfeito. Alta temperatura Alta temperatura O trabalho de segurança, no entanto, é fundamentalmente diferente: os resultados de segurança exigem precisão, alta precisão/recall e, igualmente importante, explicabilidade. A promessa de LLMs em segurança ainda é enorme. Os sistemas de agentes podem juntar descobertas, adicionar contextos que uma vez levaram dias para serem montados e reduzir drasticamente o tempo de triagem. O velho modelo de alertas estáticos de cima para baixo cria fadiga em vez de clareza, mesmo quando reforçado com análise de tempo de execução. Mesmo com contextualization de tempo de execução e análise de alcance, as descobertas "plate" permanecem barulhentas devido à presença de muitas variáveis duras e suaves. Quando esses modelos são fundamentados em sinais organizacionais, como políticas e prioridades de risco, e quando incorporam dados ambientais em tempo real, o fluxo de trabalho muda completamente.Imagine uma realidade em que os agentes são devidamente fundamentados, explicáveis e equipados com um contexto adequado sobre sinais organizacionais (políticas, apetite de risco, crítica de ativos) e contexto ambiental (configurações, ameaças predominantes, controle).As equipes de segurança não teriam que passar por milhares de questões estáticas; eles seriam capazes de se envolver em um diálogo iterativo sobre o que importa agora, na próxima semana e no próximo trimestre. Grounding and explainability: Where things get complicated for LLMs in cybersecurity Fundamentação e explicabilidade: onde as coisas ficam complicadas para LLMs em cibersegurança Quando você pede a um LLM para escrever um poema, dezenas ou centenas de tokens seguintes são plausíveis; nos próximos 10 tokens, a combinação explode. A segurança é diferente. Considere avaliar a postura de uma instância EC2 com base em um fluxo de chamadas de API. Um token incorreto (como marcar de forma errada um grupo de segurança ou faltar uma regra de ingresso) pode invalidar toda a avaliação. Decisões internas de baixo nível, como previsões de token que levam a conclusões factuais, devem ser fortemente constrangidas e totalmente baseadas em evidências.Não podemos interpretar mal ou ignorar um grupo de segurança ao avaliar o movimento lateral. Planejamento/orquestração de alto nível pode tolerar um espaço de previsão mais amplo porque podemos direcionar e refinar a hipótese de forma iterativa. Explicabilidade é o contrato com auditores, engenheiros e equipes de risco/conformidade. Sem um gráfico, você está efetivamente pedindo-lhes para confiar em um fluxo de token probabilístico. Com um gráfico, cada reivindicação reduz-se a um caminho visível: quais fatos (nódulos) foram usados, quais relações (margens) foram seguidas, e onde quaisquer suposições foram introduzidas. Quando os grafos entram em Com o ambiente modelado como nós e bordas (por exemplo, EC2 → HAS_SG → SG → ALLOWS → CIDR), o agente não está adivinhando através de um fluxo de token espalhado; ele está navegando em um gráfico limitado, o que encolhe drasticamente o espaço de pesquisa e torna cada passo inspecionável. Graph form: (i-0a12) -[HAS_SG]- (sg-0aa1) -[ALLOWS {proto:tcp, port:22}]- (0.0.0.0/0) (i-0a12) -[HAS_SG]- (sg-0bb2) -[ALLOWS {proto:tcp, port:5432}]- (10.0.2.0/24) Raw JSON: Raw JSON: { "Reservations": [{ "Instances": [{ "InstanceId": "i-0a12", "SecurityGroups": [ {"GroupId": "sg-0aa1","GroupName":"web-sg"}, {"GroupId": "sg-0bb2","GroupName":"db-sg"} ], "Tags": [{"Key":"Name","Value":"prod-web-1"}, ...], "BlockDeviceMappings": [...], "NetworkInterfaces": [{"Ipv6Addresses":[], "PrivateIpAddress":"10.0.1.23", ...}], ... }, ...] }], "SecurityGroups": [{ "GroupId": "sg-0aa1", "IpPermissions": [{ "IpProtocol": "tcp", "FromPort": 22, "ToPort": 22, "IpRanges": [{"CidrIp":"0.0.0.0/0"}], "UserIdGroupPairs": [] }, ...], "Description": "allow-ssh", ... }, ...] } Para chegar à mesma conclusão de segurança do JSON bruto, um LLM deve atravessar um caminho de raciocínio complexo em vários passos: Localizar a instância "i-0a12" profundamente dentro da estrutura de Reservas[0].Instâncias[0] Parsando a matriz SecurityGroups para extrair IDs de grupo Cross-referenciando esses IDs contra uma seção separada SecurityGroups (potencialmente centenas de linhas de distância) Mergulhe na matriz de IpPermissions de cada grupo Interpretar os IpRanges para entender padrões de acesso de rede Isso cria uma longa cadeia de inferências em pontos de dados dispersos, onde cada passo introduz o potencial de erro ou alucinação. Em contraste, a representação gráfica oferece um caminho direto, talvez determinista: Em termos de transformador, a estrutura explícita do gráfico restringe a atenção e concentra a próxima distribuição de tokens. (i-0a12) -[HAS_SG]-> (sg-0aa1) -[ALLOWS]-> (0.0.0.0/0) Emprestando-se da teoria da informação, tratamos a entropia como incerteza em uma distribuição de probabilidade.Aqui usamos ele heuristicamente para contrastar (a) quão ambíguo é o contexto de entrada e (b) quão ampla é a distribuição do próximo token do modelo. Low entropy ⇒ explicit Baixa entropia ⇒ explícito How scattered or ambiguous is the data the model must reason over? \ JSON:** High entropy - nested arrays, optional fields, implicit relationships. Context entropy (input): Low entropy - explicit nodes/edges encapsulate semantics and constrain interpretation. Graph: How many tokens are “acceptable” at each prediction step? For low-level security judgments, we want a small prediction space (ideally near-deterministic). Graph-grounded reasoning reduces generation entropy by providing fewer plausible next steps, aligning with how transformer attention concentrates probability mass. Generation entropy (output/tokens): High entropy - the model's attention must span across nested arrays, optional fields, and implicit relationships, which creates a diffuse attention pattern across hundreds of tokens. JSON: : Low entropy - focuses attention on explicit, typed relationships, dramatically reducing the attention entropy. Graph GraphRAG ofertas A implementação da Microsoft mostrou que a recuperação baseada em gráficos supera drasticamente a RAG vetorial tradicional em termos de abrangência e diversidade (ganhando 72-83% das comparações em pares). Evidências concretas das vantagens Evidências concretas das vantagens Baixar ambos os tipos de entropia estruturando o contexto e restringindo a geração aumenta a precisão e torna as explicações triviais: "Nós marcamos o movimento lateral porque a borda X → Y existe e a regra Z permite isso". Além de reduzir a entropia, o GraphRAG resolve questões de segurança que são difíceis para o RAG somente de texto, compondo conclusões de relações em vez de uma única passagem. Para “Quais funções do AWS Lambda podem acessar segredos?”, as evidências relevantes – papéis, políticas anexadas, ações, ARNs e condições – estão ausentes do texto da pergunta e espalhadas por fontes. Tackling the scale and semantics challenges Resolver os desafios de escala e semântica Como notei no meu artigo anterior, os desafios fundamentais persistem: os bancos de dados gráficos permanecem mais frágeis do que as lojas de dados tradicionais, escalam mal, exigem modelagem cuidadosa para evitar armadilhas de desempenho e carregam custos operacionais mais altos. Esses obstáculos técnicos, agravados pela escassez de experiência em gráficos na maioria das organizações, criam barreiras significativas para a adoção.Mas mesmo que as equipes superem esses desafios iniciais, elas enfrentam um problema ainda mais desafiador: a travessia eficiente de gráficos em escala empresarial. The Scale Challenge Considere a realidade de modelar ecossistemas maciços e cross-vendor.Como podemos atravessar esses gráficos expansivos de forma eficiente durante a inferência, mantendo os custos alinhados com o valor do negócio? Mesmo se pudéssemos de alguma forma encaixar um esquema de gráficos cross-vendor inteiro em uma janela de contexto, os resultados provavelmente seriam decepcionantes quando a travessia não trival for necessária. Aplicando técnicas de RAG para servir sub-gráficos de esquema focados adaptados para tarefas de inferência específicas. Potential solution: The Semantic Gap Enquanto as bordas individuais carregam um significado semântico claro (A → B), os caminhos não.Tome o vetor A → B → C: o que esta cadeia nos diz sobre a relação entre A e C? Sem semântica explícita, os sistemas de agentes muitas vezes ultrapassam ou interpretam mal esses caminhos completamente. Aproveite as capacidades do RAG para ligar vetores de gráficos (A→B→C) com vetores incorporados, criando pontes semânticas onde nenhum existia antes. Potential solution: Looking ahead Olhando para a frente Esses desafios não são insuperáveis; eles são problemas de design esperando por soluções elegantes. Soluções emergem através de abordagens híbridas, usando técnicas de RAG para gerar sub-grafos focados para tarefas de inferência específicas, e vincular vetores de gráficos com vetores incorporados para criar pontes semânticas, entre outros. A promessa permanece convincente: os profissionais de segurança conversam com a IA sobre o que importa agora, na próxima semana ou no próximo trimestre, em vez de se afogarem em milhares de alertas estáticos.
